(未編集)wordpressのセキュリティ対策について

wordpressはphpを使って動かすブログなので、セキュリティ面でも色々と問題があるサイト作成ツールです。

そして、結論から言えばwordpress上でのハッキングやウィルス感染を100%防ぐことはまず不可能だと思ってください。

というのも、wordpressがハッキングを受ける経路は3パターン位に分かれるんですが、どの全ての経路を100%遮断することは現実問題として難しいからです。

wordpressの改ざん被害やウィルス被害などは、交通事故みたいなもので、たまたま運悪く被害にあったという諦めに似た覚悟も必要です。

そのため、普段の僕らはwordpressのセキュリティ対策については「どうやって予防するか?」を中心に考えることが大切です。

もちろん、不正アクセスやウィルス被害が起きる侵入経路を知ることも大切ですが、その辺を語りだすときりがないので、その辺について詳しく知りたい人は各自で調べて下さい。

大切なことは「被害を予防する」ことであり、「早急に復旧する術を知っておく」ことです。

 

具体的なwordpressのセキュリティ対策

まずwordpressのセキュリティ対策を行う上では、次の3つのステップで分けて考えておくと分かりやすいかと思います。

wordpressのセキュリティ対策
  1. 設置完了までにする対策
  2. 全員が最低限やるべき対策
  3. 余力があればやる対策

少なくとも①番と②番に関して言えば、このオンラインサロンの記事を読んでくれている人全員が対象だと思ってください。

と言っても、実際にはそこまで難しいものではなく、wordpress初心者でも簡単に出来るものばかりなので安心して下さい。

そして③番に関しては、wordpressの設定やFTP操作・サーバー設定に多少の自信がついてからでも構いません。

あなた自身の技術に応じて、できる範囲で対策をしていきましょう!

 

対策①:wordpressの設置完了までの対策

1.セキュリティ対策のあるサーバーを選ぶ
2.設定画面を開きっぱなしにしない
3.データベースの接頭辞は複雑に
1.セキュリティ対策のあるサーバーを選ぶ

wordpressの改ざん被害やウィルス被害を受けないために大切なのは、セキュリティ対策が強そうなサーバーを選んでおくことがとても大切です。

特に月額500円程度の格安サーバーや、アダルトサーバーなどは、どうしても被害の対象になりやすいので、安全にサイトを運用したいのなら最初の時点で避けておくことをおすすめします。

もしあなたが1つのサイトに全力投球で記事を突っ込むつもりなのであれば、次に紹介する3つのサーバーのどれかを選んでおくと良いかと思います。

Xサーバー
mixhost
カラフルボックス

注意点として、mixhostに関してはアダルトサイトの運用も可能になっているので、万が一を避けたい場合にはアダルトNGのXサーバーが安定しているかもしれません。

ただ、Xサーバーがスペック的に物足りないと感じるようであれば、カラフルボックスなどを契約するのもおすすめです。

 

2.設定画面を開きっぱなしにしない

画像

量産タイプのアフィリエイターがやってしまいがちなのが、管理画面を開きっぱなしにして、そのまま設定をせず放置してしまうパターンです。

特に海外で運用していた中古ドメインを使ってwordpressを設置する場合は本当に危険で、2~3日放置しているとハッキング完了のブログタイトルでwordpressを勝手に作成してくれます(笑)

ブログタイトルの勝手な生成だけなら良いですが、大抵の場合は不正なバックドアウィルスなどを仕込まれているケースが大半なので、きちんとサーバーを初期化してから再度アップロードしなおすようにしましょう。

対策!

  1. wordpressの簡単インストールを使う
  2. config.phpを設定済みのファイルをアップロードする
  3. アップロード完了後はさっさと設定を完了させる!

 

3.データベースの接頭辞は複雑に

画像

もしこれからwordpressを設置する人であれば、データベースの接頭辞は出来る限り推測されないものにしておくことをおすすめします。

大抵のアフィリエイターは、運用サイトのドメイン名を接頭辞に使ってしまいがちですが、データーベース名が推測されやすいものにしていると、データベースの改ざん被害にあうリスクを高めることになってしまいます。

そのため、一つのデータベースで複数のサイトを運用する時は、データベース名を推測されにくいものかつ、管理がしやすい方法などを考えておくことがおすすめです。

ちなみに、僕はこのデータベースが原因で何らかの被害を被ったことは今のところありません。

ただ、データベースが改ざんされると、wordpressの復旧自体も絶望的になるので、きちんと対策しておくことをおすすめします。

 

対策②:wordpressの運営期間中の対策

1.定期的なバックアップとバージョンアップ
2.不要なプラグイン・テーマの削除
3.押さえておくべきプラグイン

1.定期的なバックアップとバージョンアップ

まず運用期間中も忘れずに行ってほしいのが、wordpressの定期的なバックアップとバージョンアップです。

wordpressがバージョンアップされる最大の理由は「脆弱性を突いた攻撃を防ぐため」なので、wordpressのバージョンアップが行われた時は早めに更新をすることをおすすめします。

また、サーバー上にアップロードしているwordpressのデータなども、月1~週1の頻度でパソコンに保管しておくと、万が一の被害を受けた時も復旧作業がやりやすくなります。

 

2.不要なプラグイン・テーマの削除

また、すでに使っていない不要なプラグインやテーマがある時も、きちんと削除をして管理することも大切です。

未使用のプラグインやテーマの脆弱性を突いて、そこから不正アクセスが行われるケースもあるそうなので、使わないプラグインやテーマは放置せず、きちんと削除していきましょう。

それと、プラグインやテーマの更新も忘れずに!

 

3.押さえておくべきプラグイン

画像

他にもwordpressのセキュリティ対策で抑えておくべき内容は色々とあるのですが、大抵のセキュリティ対策は、次にまとめたプラグインで補えるケースがほとんどです。

Akismetコメントスパムなどを防止してくれる
BackWPupwordpressを自動でバックアップ保存してくれる
SiteGuardログインURLなどの変更設定ができる
Wordfence Security自動でウィルススキャンを行ってくれる
Edit Author Slugadmin名を別の名前に表示してくれる
really simple SSL常時SSL化のお助けアイテム

これらのプラグインは、メインサイト・メインブログとして運用していくのであれば、必須のプラグインだと思ってください。

具体的な使い方や設定などについては、各自でググって欲しいのですが、長期で運用するサイトなら面倒でも絶対にインストールしておくべきプラグインです。

どれも超優秀なプラグインなので、絶対にインストールして下さいね!

僕もアダルトアフィリエイトに挑戦していた時に、バックドアウィルスの被害にあいましたが、これらのプラグインを組み合わせることで、その後の被害というのは今のところ起きてません。

セキュリティ対策はイタチごっこの要素が強いかもしれませんが、丸裸で挑むよりも、きちんと武装してサイト運用した方が事故にあう被害も減るのできちんと対策をしましょう!

 

対策③:(上級者向け!)より強固な対策を行いたい場合

ここから先は、僕自身もぶっちゃけ「面倒でやっていない」or「動作確認が完璧にできていない」情報も含まれているので、サーバー設定に自信がある人だけがやるようにして下さい。

また、ここから先の情報については、設定を間違えるとwordpressがぶっ壊れる可能性もあるので、きちんとバックアップを取ったうえで作業するようにして下さい。

この辺に関しての情報は情報元のURLを載せておくので、詳しくは各自で調べてできる範囲で対策を行ってきましょう。

 

1.wp-config.phpをアクセス不可に

wordpressの設定が完了したら、早い段階で「wp-config.php」のパーミッションを「400」or「600」に変更しておきましょう。

他にも.htacessのファイルは「604」か「606」と言った推奨の設定などがありますが、最低限「wp-config.php」を死守しておけば、急にファイルが改ざんされるリスクはかなり減るはずです。

詳しい理由は下の記事などを参考にして下さい。

参考記事

 

2.ログイン画面にベーシック認証をつける

画像

ベーシック認証を使うことで、いわゆる2重ログインができるので、ブルートフォースアタックなどに対しての抑止力に繋がります。

また、ベーシック認証の設定は特定のサーバーを使えば、管理画面から意外と簡単にできるので、そこまで特別な知識がなくてもできるのが嬉しいポイントです。

パスワードを知っている人だけを対象にコンテンツを公開したい時などにも使えるので、知っておくと色々と応用範囲が利くのでおすすめです。

参考記事

 

3.コメント、ピンバックの停止

画像

もしコメント欄を使ったサイト運用などを考えていないのであれば、思い切ってコメント欄を閉鎖させてしまうのも一つの方法です。

実際、僕が運用しているアフィリエイトサイドなどはコメント欄を停止させて運用しています。

その代わりに、運営者情報や質問フォームを別に用意して、広告掲載の依頼などはそこから受け付けるように対策を取っています。

 

4.IPアドレスのブロック

wordpressの改ざんを行ってくれる人たちの大半は海外からのアクセスになるので、もしあなたが国内だけのお客さんを対象にしているのなら、海外のIPアドレスをブロックするのも一つの方法です。

特にログインページへのアクセスだけは海外のIPアドレスからアクセスできないように設定するのは、それなりに有効な対策です。

ただ、僕はこの辺は今のところ特にやっていないので、正直効果のほどは分かりません。

 

5.wp-includesフォルダへのアクセス制限

普段、wordpressを運用していても使うフォルダは「wp-admin」フォルダ内で済むので、wp-includesのフォルダには.htacessでアクセス不可にしてしまう方法があります。

何でも、wp-includesフォルダへのアクセスを制限しても、運用には支障がないのだとか。

正直、この設定を僕はやっていないのですが、.htacessに設定を足すだけで簡単に出来るみたいなので、今後、気が向いた時にやってみたいと多みます。

 

6.テーマ・プラグインの自動更新を有効にする

function.phpに数行付け足すだけで、テーマはプラグインが自動更新される魔法の文言があるのだとか。

これもまだ僕自身で未検証な情報なので、実際に人柱になって試してみたうえで、後日談を報告したいと思います。

 

万が一、wordpressで改ざんやウィルス被害にあった時は?

もし万が一、wordpressで改ざん被害やウィルス被害にあった場合は、wordpressでバックアップを取っていたかどうかで対応が変わります。

バックアップを取っていた?
⇒復活できるよ!
⇒データベースは改ざんされていない?
⇒文字情報だけ復活可能!
⇒\(^o^)/

ちなみに、wordpressで改ざん被害に合った場合の手順などについては、別の記事で詳しく載せる予定なので少々お待ちください。

 

wordpressでのセキュリティ対策は上を目指せばきりがないので、「いつでも復旧できる状態を作ること」が最大の対策と言えます。

そのため、少なくとも今回紹介したプラグインの設定までは完ぺきに終わらせておけば、プラグインが自動でセキュリティ対策やバックアップを取ってくれるので、絶対に終わらせておきましょう。

一極集中でリソースを投下していく個人アフィリエイターだからこそ、日ごろからセキュリティ対策はきちんと自動化で対応できるようにして下さいね!

参考記事